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PROCEDE POUR LA MISE EN CEUVRE SECURISEE D f UN ALGORITHME 
DE CRY PTOGRAPH I E DE TYPE RSA ET COMPOSANT CORRES PONDANT 

La pr§sente invention se rapporte & un procede 
pour la mise en oeuvre s6curis6e d' un algorithme de 
cryptographie dans un composant 61ectronique et, plus 
particular ement, pour la mise en oeuvre s6curis6e d r un 
5 algorithme de cryptographie de type RSA. 

L' invention concerne 6galement le composant 
electronique correspondant . 

De tels composants sont notamment utilises dans 
des applications oil l'acces a des services ou & des 
10 donn^es est s6v&rement contrSle. 

lis ont une architecture dite logicielle, c'est-&- 
dire programmable formee autour d'un microprocesseur et 
de memoires, dont une m6moire programme non volatile de 
type EEPROM qui contient un ou plusieurs nornbres 
15 secrets. II s'agit d'une architecture g^neraliste apte 
& ex6cuter n'importe quel algorithme. 

Ces composants sont utilises dans des systemes 
informatiques, embarques ou non. lis sont notamment 
utilises dans les cartes £l puce, pour certaines 
20 applications de celles-ci. Ce sont par exemple des 
applications d'accds cL certaines banques de donn6es, 
des applications bancaires, des applications de 
t616peage, par exemple pour la t61§vision, la 

25 distribution d' essence ou encore le passage de peages 
d' autoroutes . 
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Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie pour assurer le 
chiffrement de donnees emises et/ou le dechif frement de 
donnees regues, 1' authentif ication ou la signature 

5 numerique d'un message. 

A partir de ce message applique en entree a la 
carte par un systeme hote (serveur, distributeur 
bancaire...) et de nombres secrets contenus dans la 
carte, la carte fournit en retour au systeme h&te ce 

10 message chiffr6, authentifie ou sign6, ce qui permet 
par exemple au systeme hote d' authentif ier le composant 
ou la carte, d' §changer des donn6es.„ 

Les caract6ristiques des algorithmes de 
cryptographie peuvent etre connues : calculs effectues, 

15 paramdtres utilises. La seule inconnue est le ou les 
nombres secrets. Toute la security de ces algorithmes 
de cryptographie tient dans ce(s) nombre (s) secret (s) 
contenu(s) dans la carte et inconnu(s) du monde 
exterieur a la carte. Ce nombre secret ne peut etre 

20 d6duit de la seule connaissance du message appliqu6 en 
entr6e et du message chiffre fourni en retour. 

Or, il est apparu que des attaques externes bashes 
sur des grandeurs physiques mesurables a 1' exterieur du 
composant lorsque celui-ci est en train de d6rouler 

25 1' algorithme de cryptographie, permettent k des tiers 
mal intentionn6s de trouver le(s) nombre (s) secret <s) 
contenu(s) dans cette carte. Ces attaques sont appelees 
attaques a canaux caches (« Side channel attacks » en 
anglais) ; on distingue parmi ces attaques a canaux 

30 caches, les attaques SPA, acronyme anglo-saxon pour 
Single Power Analysis bashes sur une voire quelques 
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mesures et les attaques DPA, acronyme anglo-saxon pour 
Differential Power Analysis bashes sur des analyses 
statistiques issues de norabreuses mesures. Le principe 
de ces attaques cl canaux caches repose par exemple sur 
5 le fait que la consoiranation en courant du 
microprocesseur executant des instructions varie selon 
l r instruction ou la donn^e manipul6e. 

II existe 6galement un type d' attaque, dite 
« attaque par faute ». Dans ce type ' d' attaque, 

10 l'attaquant injecte une faute quelconque pendant le 
calcul d'un algorithme cryptograph! que, dans le but 
d r exploiter la presence de cette faute pour extraire 
une information secrete. 

La faute peut aussi provenir d'une erreur de 

15 calcul due au materiel mettant en oeuvre 1' algorithme 
cryptographique . On considdre n^anraoins, dans un cas 
cornme dans 1' autre, qu' il s r agit d'une attaque par 
faute . 

Ces dif f erents types d' attaque sont notarament 
20 envisageables avec les algorithmes de cryptographie & 
cle publique corame par exemple 1' algorithme RSA (du nom 
de ses auteurs Rivest, Shamir, Adleman) , qui est celui 
le plus utilise en cryptographie dans ce domaine 
d' application, et auquel la pr6sente invention 
25 s' applique plus particuli^rement . 

On rappelle ci-apres bridvement les principales 
caract6ristiques du systeme cryptographique 3. cle 
publique RSA. 

La premiere realisation de schema de chiffrement 
30 et de signature a cle publique fut mise au point en 
1977 par Rivest, Shamir et Adleman, qui ont invente le 
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syst&me cryptographique RSA. La s<§curit6 de RSA repose 
sur la difficult^ de factoriser un grand nombre qui est 
le produit de deux nombres premiers . Ce systeme est le 
systdme cryptographique & cle publique le plus utilis6. 
5 II peut etre utilise corame proc6de de chiffrement ou 
cortime procede de signature. 

Le principe du systeme cryptographique RSA est le 
suivant. II consiste d'abord k g6n6rer la paire de cl6s 
RSA. 

10 Ainsi, chaque utilisateur cr6e une cle publique 

RSA et une cle privee correspondante, suivant le 
procede suivant en 5 etapes : 

1) Generer deux nombres premiers distincts p et q; 

2) Calculer n=pq et <& (n) = (p-1) (q-1) , <& 6tant appelee 
15 la fonction indicatrice d'Euler; 

3) S61ectionner un entier e, Ke<& (n) , tel que 
pgcd(e,&(n) alSatoirement ou au choix de 
l 9 utilisateur qui pourrait done choisir e petit tel que 
e = 2 1S +1 ou e - 3 ou e - 17 ; 

20 4) Calculer l f unique entier d, l<d<$ (n) , tel que : 
e.d=l modulo <& (n) ; (1) 
5) La cl6 publique est (n,e); la cl<§ priv6e est d ou 
<d,p,q) • 

Les entiers e et d sont appeles respectivement 
25 exposant public et exposant prive. L 1 entier n est 
appel6 le module RSA. 

Une fois les paramdtres publics et priv6s d^finis, 
6tant donne x, avec 0<x<n, 1' operation publique sur x 
qui peut §tre par exemple le chiffrement du message x 
30 consiste £ calculer : y = x e modulo n (2) 
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Dans ce cas, 1' operation priv6e correspondante est 
1' operation de d6chif f rement du message chiffr<§ y, et 
consiste a calculer : 

y d modulo n (3) 
5 1/ operation publique sur x peut encore Stre la 

verification de la signature x, et consiste a 
calculer : y = x e modulo n (2) 

1/ operation priv6e correspondante est alors la 
g6n6ration d' une signature x k partir du message 
10 pr^alablement encode y par application d'une fonction 
de hachage p. ("padding" selon la terminologie anglo- 
saxonne) , et consiste & calculer : 

y d modulo n (3) 
Avec x= y d modulo n puisque e.d = 1 modulo <X>(n) 
15 On va presenter un autre mode de f onctionnement 

dit mode CRT car bas6 sur le th6oreme des restes 
chinois (« Chinese Remainder Therorem » ou CRT en 
anglais) et quatre fois plus rapide que celui de 
l f algorithme RSA standard. Selon ce mode CRT, on 
20 n'effectue pas directement les calculs modulo n mais on 
effectue d' abord les calculs modulo p et modulo q. 

Les parametres publics sont (n, e) mais les 
param£tres prives sont dans ce mode <p, q, d) ou (p, q, 
dp, d q , i q ) avec 
25 dp = d modulo (p-1) , d q = d modulo (q-1) 
et i q « q*" 1 modulo p 

Par la relation (1) , on obtient, : 

ed p = 1 modulo(p-l) et ed q = 1 modulo(q-l) (4) 
1/ operation publique s' effectue de la meme fagon 
30 que pour le mode de f onctionnement standard. Par 
contre, pour 1' operation privee, on calcule d' abord : 
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x p = y ap modulo p et x q = y dq modulo q 
Ensuite, par application du th§or6me des restes 
chinois, on obtient x = y d modulo n par : 

x = CRT(x p , x q )= x g + q[iq(x p -x q ) modulo p] (5) 

5 

Une orientation importante dans le domaine de la 
cryptographie & cle publique utilisant le schema de 
chiffrement RSA consiste done & s6curiser la mise en 
oeuvre des algorithmes RSA contre les differents types 

10 d'attaques possibles evoqu^s plus haut, notamment les 
attaques a canaux caches telles que les attaques DPA et 
SPA, ainsi que les attaques dites par faute ou 
l'attaquant, par une methode quelconque, injecte une 
faute pendant le calcul d'une operation priv6e de 

15 l'algorithme RSA, dans le but d' obtenir une valeur 
corrompue & partir de laquelle il est possible, dans 
certains cas f de deduire certaines donnees secretes. 

Dans l'6tat de la technique, certains procedes de 
contre-mesure ont ete envisages pour parer ces 

20 diff6rents types d T attaques. 

Notamment, une contre-mesure possible pour parer 
les attaques de type DPA (et SPA) contre le RSA en mode 
standard consiste a rendjre al6atolre le calcul de 
l r operation priv6e du RSA (signature ou dechif f rement) 

25 en introduisant dans le calcul une valeur al^atoire. 

Ainsi, une methode de contre-mesure de ce type 
consiste a calculer 1' operation privee en mode standard 
(3) x = y d modulo n de la facpon suivante : 

x - y d " r ,y r modulo n, avec r etant un nombre 

30 entier al^atoire. Toutefois, 1' inconvenient de cette 
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m6thode de contre-mesure est que le temps de calcul est 
double . 

Une autre m^thode de contre-mesure de ce type 
pour parer les attaques DPA (et SPA) contre le RSA en 
5 mode standard consiste cl calculer 1' operation priv6e 
(3) x = y d modulo n de la fagon suivante : 

x = y<d+r.*<n>) modulo n, avec r un entier 
alfeatoire. Cependant, un inconvenient de cette m6thode 
est qu'elle requiert la connaissance de la valeur de 
10 <&(n), qui est gen6ralement inconnue par 1'algorithme de 
cryptographie qui met en ceuvre 1' operation priv6e 
(signature ou d6chif frement) . 

Aussi, une variante de cette m6thode est propos6e, 
. basee non plus sur la connaissance de la valeur de 
15 <&<n) mais sur celle de la valeur de I'exposant public 
e. En effet, on a d'apr^s (1) : e.d = 1 modulo <fc (n) , 
aussi, il existe un entier k tel que : e.d-1 — k. <I>(n); 

En consequence, l f expression x = y<d+r.o<n>) mo dulo n 
peut se calculer sous la forme : 
20 x = y <d+r.(ed-i)) modulo n, avec r un entier 

aleatoire . 

Cette methode de contre-mesure est done 
calculatoirement 6quivalente a celle dont elle d6coule, 
avec l'avantage cependant de ne pas necessiter la 
25 connaissance de la valeur de <£(n) . Elle requiert moins 
de m^moire en ce sens qu'elle ne n6cessite pas de 
garder <£> (n) . 

Toutefois, cette variante de contre-mesure, pour 
pouvoir §tre mise en oeuvre, n6cessite d 1 avoir la 
30 connaissance de la valeur de l f exposant public e. Or, 
dans de nombreuses applications de cryptographie, le 
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composant ou le dispositif mettant en oeuvre l f operation 
privde de l f algorithme RSA ne dispose pas tou jours de 
l'exposant public e, notamment lorsqu T il n T ex6cute que 
l f operation privee. L'exposant public e est done dans 
5 ce contexte g6n6ralement inconnu ou indisponible . 

Ires centre -me sure s decrites precedemment sont 
principalement destinees a parer les attaques de type 
DPA. Cependant, elles rendent egalement plus diff idles 
les attaques de type SPA dans la mesure oil 1 'execution 

10 de 1 ' algorithme est non-deterministe . 

Pour ce qui est de 1' autre type d'attaque qui a 
et6 6voqu6, dite attaque par faute, la meilleure 
protection possible pour la parer consiste h tester, en 
mode standard, que la valeur x obtenue par application 

15 de 1' operation privee v6rifie ef f ectivement la relation 
x e — y modulo n de 1' operation publique. Si ce n'est pas 
le cas, on ne retournera pas la valeur y pour eviter 
son utilisation a des fins de cryptanalyse. 

En mode CRT, la protection consiste & verifier 

20 d'une part, si eff ectivement les relations 
x G = y modulo p et, d' autre part, x e = y modulo q sont 
verif iees . 

En effet, lorsque ces relations sont verif i^es, on 
est assure qu'il n'y a pas eu d'erreurs pendant le 
25 d6roulement de 1' operation privee de 1 ' algorithme RSA. 

Toutefois, un inconvenient emp§chant la mise en 
oeuvre de telles verifications contre les attaques par 
faute, en mode standard ou en mode CRT, est que ces 
operations de verification necessitent 6galement la 
30 connaissance pr6alable de l r exposant public e. Or, 
comme d6ja vu, le composant ou le dispositif mettant en 
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oeuvre l'op§ration priv£e de 1 ' algorithme RSA, en mode 
standard ou CRT, ne dispose pas toujours de l'exposant 
public e, notaniment lorsqu' il n f execute que 1' operation 
priv6e. L'exposant public e est done dans ce contexte 
5 generalement inconnu ou indisponible . 

Le document de brevet FR 2 830 146 (Dl) propose a 
cet effet un proc6d6 permettant de realiser certaines 
6tapes d f un algorithme de cryptographie, et notaniment 
de type RSA en mode standard ou CRT, utilisant un 

10 exposant public e que l'on ne connait pas a priori. 

Le proc^de objet de Dl permet en particulier de 
rfealiser une contre-mesure, notamment aux attaques par 
faute, qui offre la meilleure protection possible telle 
qu'evoqu6e ci-dessus, meme lorsqu'on ne connait pas 

15 1' exposant public e. 

Pour ce faire, soit (©/ d) une paire 
correspondante d'exposants RSA respectivement public et 
prive et soit n le module RSA. Dl part de la 
constatation suivante selon laquelle dans 95% des cas, 

20 la valeur de l'exposant public e est choisie parmi les 
valeurs 2 1€ +1, 3, 17. La methode de Dl, exposee 
bridvement ici en reference au mode standard mais qui 
peut tout autant s'appliquer au mode CRT, consiste 
alors & verifier que e est bien 6gal & une de ces 

25 valeurs en testant successivement si ei.d = 1 modulo 
<f>(n), avec e± <D E - {2 16 +1, 3, 17}, jusqu'i ce que la 
relation soit v6rifi6e. 

Lorsque la relation est verifiee pour un ei, alors 
on sait que e=ei. Une fois la valeur de l'exposant 

30 public e d^terminee de cette fagon, e est m^morisee en 
vue de son utilisation dans des calculs de 1' algorithme 
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RSA visant k verifier qu' il n'y a pas eu d'erreurs, 
dues a une attaque par faute, pendant le d6roulement 
d'une operation privee correspondante de 1' algorithme 
RSA. Ainsi f connaissant e, il est possible d'af firmer 

5 avec une probability 6gale £l 1 que 1 ' operation priv6e 
se rapportant par exemple a la generation d'une 
signature s, avec s = |i(m) d modulo n, ]i(m) 6tant la 
valeur obtenue par 1' application d'une fonction ji de 
padding au message m & signer, a 6t6 effectu6e sans 

10 erreur en v6rifiant simplement que la valeur s obtenue 
verifie la relation s e = ]i(m) modulo n de 1' operation 
publique correspondante. 

Si aucune valeur de e± n'a pu etre attribuee a e, 
il convient alors de constater selon Dl que les calculs 

15 de l'algorithme RSA utilisant la valeur e pour la 
s6curisation contre les attaques par faute ne peuvent 
etre effectues. 

Cependant, un inconvenient de la methode propos^e 
par Dl est qu'elle implique d'executer une plurality de 

20 calculs modulaires lorsqu'on teste successivement si la 
relation e±d = 1 modulo <fc(n) est verifiee, pour une 
valeur de ei parmi les ei envisages. Or les calculs 
modulaires sont des calculs complexes, Cette methode se 
revele done p6nalisante en terme de temps de calcul et 

25 de ressources de calcul. 

Aussi, le probleme qui se pose est de pallier les 
inconv6nients precit6s . 

Plus particulierement, un but de la presente 
invention consiste k determiner d'une fagon qui ne soit 

30 pas p^nalisante en terme de rapidite et de complexity 
de calcul, la valeur d f un exposant public e parmi un 
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ensemble de valeurs probables pr6d6termin6es, lorsque 
l'on ne connait pas cette valeur de e a priori , 
l f exposant e 6tant mis en oeuvre dans certaines etapes 
d f un algorithme de crypt ographie de type RSA en mode 
5 standard ou CRT . 

Un autre but consiste done a pouvoir mettre en 
oeuvre, une fois la valeur de 1 'exposant public e 
determine, des operations de contre-mesure utilisant 
la valeur de l r exposant public e, visant & parer d'une 

10 part, les attaques dites attaques par faute et, d' autre 
part, les attaques dites & canaux caches, notamment de 
type DPA et SPA, susceptibles d f etre conduites lors de 
la mise en oeuvre d T une operation priv6e d f un algorithme 
de cryptographie, notamment de type RSA. 

15 Avec ces objectifs en vue, l f invention concerne un 

proc6d6 pour la mise en oeuvre s6curis6e d f un algorithme 
de cryptographie a cle publique, ladite cle publique 
etant composee d T un nombre entier n, produit de deux 
grands nombres premiers p et q, et d'un exposant public 

20 e, ledit proc6d6 consistant a determiner un ensemble E 
comprenant un nombre predetermine de valeurs ei 
susceptibles de correspondre a la valeur de 1 T exposant 
public e, les ei 6tant des nombres premiers, caracteris6 
en ce qu f il comprend les 6tapes suivantes consistant a: 

25 

a) def inir une valeur <I> = J"J e i 

ei g E 

telle que G>/e± soit inferieur A <P(n) pour tout e± 
appartenant £l E, <P etant la fonction indicatrice 
d'Euler; 



WO 2005/022820 



PCT7EP2004/051411 



12 



b) appliquer la valeur $ dans un calcul 
pr 6d6 termini ; 

c) pour chacun des e± de E, tester si le r6sultat 
dudit calcul predetermine est 6gal d. une valeur <X>/ei:. 

5 - si c'est le cas, alors attribuer la valeur e ± & e 

et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de crypt ographie; 

sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur 
10 e ne peuvent etre ef f ectues . 

L'avantage est done clairement que l T on n T ait plus 
qu'une seule multiplication modulaire. 

Dans une premiere variante, l f algorithme de 
cryptographie est base sur un algorithme de type RSA en 
15 mode standard - 

En rapport avec cette premiere variante, le calcul 
predetermine de l T 6tape b) consiste a calculer une 
valeur C : 

C = <B.d modulo <B(n), d etant la cie privee 
20 correspondante de l f algorithme RSA telle que 
e.d = 1 modulo <&(n) et <B etant la fonction indicatrice 
d T Euler . 

Selon une alternative , le calcul predetermine de 
l'etape b) consiste & calculer une valeur C : 
25 C = <£.d modulo <&(n), d 6tant la cle priv6e 

correspondante de l f algorithme RSA telle que 
e.d = 1 modulo <I>(n) et <& etant la fonction de 
Carmichael . 
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Dans une seconde variante, l f algorithme de 
cryptographie est base sur un algorithme de type RSA en 
mode CRT. 

En liaison avec cette seconde variante, le .calcul 
5 predetermine de l'etape b) consiste a calculer une 
valeur C : 

C = <&.dp modulo (p-1), d p etant la cie privee 
correspondante de l f algorithme RSA telle que 
e.dp = 1 modulo (p-1) . 
10 Selon une alternative, le calcul predetermine de 

l T 6tape b) consiste k calculer une valeur C : 

C - S>.dq modulo (q-1), d q etant la cie privee 
correspondante de l f algorithme RSA telle que 
e.dq = 1 modulo (q-1) . 
15 Selon une autre alternative, le calcul 

pr6d6termin6 de l f 6tape b) consiste k calculer deux 
valeurs C a et C 2 telles que : 

Ci = <&.d p modulo (p-1), d p etant la cie privee 
correspondante de l 1 algorithme RSA telle que 
20 e.dp = 1 modulo (p-1), • 

C 2 = <&.d q modulo (q-1), d q etant la cie privee 
correspondante de l 1 algorithme RSA telle que 
e.d q = 1 modulo (q-1), 

et en ce que l'etape de test c) consiste pour 
25 chaque e±, k tester si Ci et/ou C 2 est 6qal & la valeur 
*/ei: 

- si c'est le cas, alors attribuer la valeur ei k e 
et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 
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sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 
peuvent §tre effectues. 

Selon la premiere variante et dans le cas oxi une 
5 valeur e ± a 6te attribute i e, les calculs utilisant la 
valeur e consistent a : 

-choisir un entier al^atoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d-1) ; 

-mettre en ceuvre une operation privee de 
10 1 1 algorithme dans laquelle une valeur x est obtenue a 
partir d'une valeur y en appliquant la relation 
x = y d * modulo n. 

Selon la premiere variante et dans le cas oH une 
valeur ei a ete attribute k e, les calculs utilisant la 
15 valeur e consistent a obtenir, a l f issue d f une 
operation privee de 1 1 algorithme,, une valeur x & partir 
d'une valeur y et & verifier si x e = y modulo n. 

Selon la deuxieme variante et dans le cas ou une 
valeur ei a 6te attribute a e, les calculs utilisant la 
20 valeur e consistent £ obtenir, a 1 T issue d f une 
operation privee de 1 1 algorithme, une valeur x £ partir 
d T une valeur y et k verifier d'une part, si x e = y 
modulo p et, d T autre part, si x e = y modulo q. 

De preference, l f ensemble E comprend au moins les 
25 valeurs e± suivantes 3, 17, 2 16 +1. 

L 1 invention concerne 6galement un composant 
61ectronique caract^rise en ce qu'il comprend des 
moyens pour la mise en ceuvre du precede tel que defini 
prec6demment . 

30 L 1 invention concerne encore une carte a puce 

comprenant un composant electronique tel que defini. 
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L f objet de 1' invention concerne 6galement un 
precede pour la mise en oeuvre securisee d'un algorithme 
de cryptographie a cle publique, ladite cle publique 
etant composee d'un nombre entler n, produit de deux 
5 grands nombres premiers p et q, et d f un exposant public 
e, ledit proced6 consistant a determiner un ensemble E 
comprenant un nombre predetermine de valeurs e A 
susceptibles de correspondre £ la valeur de 1' exposant 
public e, les e x 6tant des nombres premiers, caract6rise 
10 en ce qu'il consiste a realiser les Stapes suivantes 
consistant a: 

a) choisir une valeur e± parmi les valeurs de 
1 T ensemble E; 

b) si <P(p)=<P(q), tester si la valeur e± choisie 
15 v^rifie la relation : (l- ei .d) modulo n < e±.2 <0(n)/2>+1 

ou ladite relation simplifi6e : 
(-ei.d) modulo n < ei .2 <* (n)/2)+1 

avec &(p), &(q) et ®(n) les fonctions donnant le 
nombre de bits codant respect ivement le nombre p, le 
20 nombre q et le nombre n; 

sinon, dans le cas ou p et q sont 
desequilibres, tester si la valeur e ± choisie verifie la 
relation : 

(l-e±.d) modulo n < ej..2 g+1 
25 ou ladite relation simplifiee : 

(-ei.d) modulo n < e ± .2 g+1 

avec g=max(&(p), <P(q)), si &(p) et & (q) sont 
connus ou, dans le cas contraire, avec g= <£>(n) /2+t, ou 
t d6signe le facteur de desequilibre ou une borne sur 
30 ce facteur; 
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c) si la relation de test appliqu6e 4 l'6tape 
pr6cedente est verifiee, alors e = e± f et m6moriser e en 
vue de son utilisation dans des calculs dudit 
algorithme de crypt ographie, 

5 - si ce n'est pas le cas f r6iterer les etapes 

precedentes en choisissant une autre valeur de e± dans 
1' ensemble E jusqu'& ce qu'une valeur de e± puisse etre 
attribute 3. e et si aucune valeur de ei ne peut etre 
attribute k e alors constater que les calculs dudit 

10 algorithme de cryptographie utilisant la valeur de e ne 
peuvent pas etre ef f ectues . 

Le fait de choisir l f ordre des e± comme celui des 
probabilites d f apparitions des exposants publics permet 
de gagner du temps. Ainsi, on pourra choisir 

15 pr6f 6rentiellement l'ordre suivant : eo=2 16 +l, ei=3, 
e2=17. 

Dans une variante, on a pour tous les i, ei^2 16 -fl 
et l'etape b) est remplac6e par une autre etape de test 
consistant & z 

20 si &(p) =G>(q) f tester si la valeur e± choisie 

v6rifie la relation: (1-ej.. d) modulo n < 2 ( * <n)/2>+17 
ou ladite relation simplifiee : 
(-e ± .d) modulo n < 2 (4>(n>/2>+17 

avec <D(p) f <&(q), <X>(n) les fonctions donnant le 
25 nombre de bits codant respectivement le nombre p, le 
nonibre q et le nombre n; 

sinon, dans le cas oil p et q sont d6s6quilibr6s f 
tester si la valeur ei choisie verifie la relation 
:(l-ei.d) modulo n < 2 g+17 
30 ou ladite relation simplifiee: 

(-e±.d) modulo n < 2 g+r7 
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avec g=max(&(p) ,<P(q) ) , si &(p) et &(q) sont connus 
ou, dans le cas contraire, avec g= Q(n)/2+t, oh t 
d6signe le facteur de desequilibre ou une borne sur ce 
facteur. 

5 Dans une autre variante, l f 6tape b) est remplacee 

par une autre etape de test consistant a : 

tester si la valeur e± choisie v6rifie la relation 
selon laquelle: 

les premiers bits de poids forts de (1-ei.d) modulo n 
10 sont nuls ; 

ou ladite relation simplifiee selon laquelle : 
les premiers bits de poids forts de (-e±.d) modulo n 
sont nuls . 

De preference, le test est effectue sur les 128 
15 premiers bits de poids fort. 

Selon un mode de realisation pr6f6r6 de 
l 1 invention, l f algorithme de cryptographie est bas6 sur 
un algorithme de type RSA en mode standard. 

Selon une caracteristique, une valeur ei ayant ete 
20 attribuee a e, les calculs utilisant la valeur e 
consistent k : 

-choisir un entier al^atoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d-1); 
-mettre en oeuvre une op§ration priv6e de 
25 1 T algorithme dans laquelle une valeur x est obtenue & 
partir d f une valeur y en appliquant la relation 
x = y d * modulo n. 

Selon une autre caracteristique , une valeur e± 
ayant ete attribuee & e, le procede de l f invention 
30 consiste £ obtenir, & 1' is sue d f une operation privee de 
l 1 algorithme, une valeur x a partir d f une valeur y et 
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les calculs utilisant la valeur e consistent a verifier 
si x e = y modulo n. 

De pr6f6rence, l T ensemble E comprend au moins les 
valeurs e* suivantes 3, 17, 2 16 +1. 
5 L f invention concerne encore un composant 

electronique caracterise en ce qu'il comprend des 
moyens pour la mise en oeuvre du proc^de tel qu f il vient 
d T §tre defini. 

L r invention concerne egalement une carte £ puce 

10 comprenant un composant Electronique tel que defini. 

D'autres caracteristiques et avantages de la 
prEsente invention ressortiront plus clairement de la 
description qui est faite ci-apres, a titre indicatif 
et nullement limitatif . 

15 La pr6sente invention decrit done differentes 

techniques permettant de valider la valeur d'un 
exposant public e que l'on ne connait pas a priori. Ces 
techniques peuvent Stre mises en oeuvre par tout 
dispositif ou composant electronique dot6 de moyens de 

20 calculs cryptographiques adequats, en particulier une 
carte a puce. 

L f objet de l f invention est base sur la 
constatation suivante : soit un ensemble E comprenant 
au moins les valeurs de e suivantes : e 0 = 2 16 +1; ei = 3 
25 et e 2 = 17; cet ensemble E de valeurs couvre environ 95% 
des valeurs des exposants publics couramment utilises 
dans les calculs des algorithmes de cryptographie de 
type RSA. 

La premiere technique proposee par la presente 
30 invention , valable pour le mode standard de 
l T algorithme RSA, consiste alors d T une fagon g6n6rale a 
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choisir eo et £ verifier que e=eo; si e+e 0 alors on 
essaie avec ei; et si etei, alors on essaie avec e2- 

II se peut que pour une certaine application 
correspondant aux 5% d f autres cas, e ne soit pas 6gal 
5 ni a e 0 , ni 3. ei, ni & e 2 - Aussi, designe~t-on plus 
generalement la valeur de e par e±. Et la methode 
consiste finalement a choisir une valeur ei parmi les ei 
envisages et & verifier que e — e±. 

Plus particuli&rement, la premiere technique pour 
10 retrouver la valeur de e, valable pour le mode standard 
de 1 1 algorithme RSA, est bas6e sur le raisonnement 
suivant : 

Dans le mode standard, l 1 algorithme prive (mettant 
en oeuvre une operation de signature ou de d6chif f rement 
15 d'un message) dispose de la valeur du module n et de 
l f exposant prive d. 

Ainsi, de l'expression (1) , il decoule qu'il 
existe un entier k tel que: 

e.d = 1 + k *(n) , 
20 soit : 1-e.d = -k <b (n) = -k. (n-p-q+1) 

En reduisant les deux cot6s de l'expression modulo 
n, on obtient : 

1-e.d = k(p+q-l) (modulo n; . 

En notant que l f on a tou jours k<e lorsgize e est 
25 relativement petit, l f expression pr6c6dente peut aussi 
s ' 6crire : 

(1-e.d) modulo n = k(p+q-l) . (6) 

Le cote gauche de 1' equation 6 a sensiblement la 
taille du module n, tandis que le cote droit a sa 
30 taille d^finie selon l'expression suivante quand p et q 
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sont 6quilibr6s, c'est-^-dire de m&me taille $(p)= 
*(q) : 

k. (p+q-l)<e,2 (0(n,/2)+1 

avec <&(n),. <*> (p) r *(q) les fonctions donnant le 
5 nombre de bits codant respectivement le nombre n, le 
nombre p et le nombre q. 

Quand p et q ne sont pas de meme taille, on 
appelle la f onction g=max ($ (p) , <X> (q) ) , c T est-&-dire la 
fonction donnant le maximum des longueurs de p et q 
10 dans le cas ou &(p) et <&(q) sont connus; sinon, on 
prend g=G>(n) /2+t, oil t deslgne le facteur de 
desequillbre ou une borne sur ce facteur dans le cas 
contraire. Dans ce cas oil p et q sont desequilibres, la 
formule de 1 T expression ci-dessus devient : 
15 k. <p+q-l)<e.2 1+g 

En effet r comme n = p.q, si p et q sont 
equilibres, alors on a 1 T expression p+q<2 ( * <n)/2)+:L ; a 
l f inverse, si p et q sont desequilibres, alors : 
p+q<2 1+g 

20 Ainsi, pour tous les ei possibles dans 1' ensemble 

E, si 0(p)= &(q), on teste si la valeur ei choisie 
v^rifie la relation predeterminee suivante : 

(1-ei.d) modulo n < e±. 2<* {n>/2)+1 (7) 
sinon, on teste si la valeur e* choisie verifie la 
25 relation pr6d6termin6e suivante : 

(1-ei.d) modulo n < ei.2 g+1 (7 f ) 
si la relation predeterminee de test appliqu6e est 
verifiee, alors e-ei et on memorise e, 

sinon, on choisit une autre valeur de e± dans 
30 l 1 ensemble E et on r6it6re les 6tapes pr6c6dentes . 
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Dans une premifere variante, le test pour retrouver 
la valeur de e: 

(1-ei.d) modulo n < ei.2<* (n)/2>+1 ou 

(1-ei.d) modulo n<ei.2 g+1 , suivant que p et q soient 
5 6quilibres ou non, peut etre remplace par le test 
suivant : 

(1-ei.d) modulo n < B, 

avec B £ [max(ei)] 2<° <n>/2>+1 dans le cas oti ®(p) = 

®(q), 

10 et B ^ [max(ei)] 2 g+1 sinon. 

Dans notre exemple, on a E={2 16 +1, 3, 17}. Ainsi, 
pour tous les i, on a ei^2 16 +l et le test pr6c6dent peut 
done etre simplifie de la fagon suivante consistant & 
verifier si: 

15 (1-ei.d) modulo n < B, avec b=2 <0(n>/2)+17 dans le cas 

oil &(p)= &(q) r 

et(l-ei.d) modulo n < B, avec B=2 g+17 sinon. 
Dans une deuxieme variante du test, on peut encore 
simplifier le test pr6c6dent en v6rifiant si les bits 
20 les plus significatif s, par exemple les 128 bits de 
poids fort, de (1-ei.d) modulo n sont nuls. 

Enfin, pour cette premiere technique, une derni&re 
simplification consiste & determiner la relation 
pr6d6termin6e pour le test sur les e± en d6marrant avec 
25 la relation suivante: 

(-e,d) modulo n = k(p+q-l)-l 
a la place de la relation (6) . 

Ainsi, a partir de cette simplification, on 
obtient pour les relations de test (7, I 1 ), la 
30 simplification suivante: 

(-ei.d) modulo n < ei .2 ( * (n>/2)+1 si &(p)= $(q) r 
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et (-e±.d) modulo n < ei-2 g+1 sinon. 

Pour la premiere variante, on obtient le test 
simplifi6 suivant: 

(-ei,d) modulo n < B, avec b=2 <* (n)/2)+1 T si ®(p) =&(q) 
5 et B=2 g+17 sinon. 

Et, pour la deuxieme variante du test, on obtient 
le test simplifie suivant consistant a verifier si les 
premiers bits de poids fort de (-ei.d) modulo n sont 
nuls . 

10 Quelle que soit la variante mise en oeuvre f dans sa 

version simplifi6e ou non, si le test n'est pas 
verifi6 pour une valeur de ei, on choisit une autre 
valeur pour e± dans l f ensemble E jusqu'a ce qu f une 
correspondance soit trouv6e . 

15 Si pour l'une ou 1 1 autre des variantes qui 

concernent la premiere technique expos6e ci-dessus, il 
n'existe pas parmi les e if une valeur telle que e=e if 
alors il reste a constater que les calculs de 
l f algorithme de cryptographie RSA en mode standard 

20 faisant intervenir e ne peuvent etre effectu^s. 

Par contre, lorsque la valeur de e a pu etre 
retrouvee parmi les valeurs &± de 1' ensemble de valeurs 
pr6determin6es E, par l f une ou l f autre des variantes, 
on peut alors verifier chaque operation priv§e (3) de 

25 l'algorithme de cryptographie (consistant en le 
d6chif f rement d'un message ou la g6n6ration d'une 
signature) en s f assurant que la valeur x obtenue & 
partir d'une valeur y par application de l 1 operation 
priv6e verifie la relation x e . = y modulo n. Si ce n f est 

30 pas le cas, le message dechiffr6 ou la signature n f est 
pas retourn6 pour eviter toute cryptanalyse . 
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Comme on l'a vu, une fois que l'on connait e, le 
proc6d6 selon l f invention peut egalement s'appliquer a 
une contre-mesure, notamment contre les attaques de 
type DPA (et SPA), telle qu'elle a 6t6 decrite plus 

5 haut dans la description. Une telle m6thode ainsi 
consiste a: choisir un entier aleatoire r; calculer une 
valeur d* telle que d* = d+r.(e.d-l); mettre en ceuvre 
une operation priv6e de 1 T algorithme dans laquelle une 
valeur x est obtenue 3. partir d f une valeur y en 

10 appliquant la relation x = y d * modulo n. 

Enfin, la presente invention concerne une deuxieme 
technique pour retrouver la valeur de l T exposant e 
parmi un ensemble E comprenant un ensemble de valeurs ei 
predetermines. Comme on le verra, cette technique 

15 s' applique aussi bien dans le cas du mode standard de 
I 1 algorithme RSA que dans le cas du mode CRT. 

Cette technique consiste plus particulierement a 
am61iorer la m6thode proposee dans Dl. Ainsi, les 
etapes suivantes sont mises en ceuvre : 

20 a) d6f inir une valeur <E> = f~J ei 

ei G E 

telle que &/e± soit infSrieur £ 0 (n) pour tout e± 
appartenant £ E, $ etant la fonction indicatrice 
d'Euler; 

b) appliquer la valeur <D dans un calcul 
25 predetermine; 

c) pour chaque ei, tester si le resultat dudit 
calcul predetermine est 6gal k une valeur ^>/e±: 

- si c'est le cas, alors on attribue la valeur ei & 
e et on memorise e en vue de son utilisation dans des 
30 calculs de l f algorithme de cryptographie . 



WO 2005/022820 



PCT7EP2004/051411 



24. 



sinon, on constate que les calculs de 
1 1 algorithme de cryptographie utilisant la valeur e ne 
peuvent §tre effectues. 

En mode standard, le calcul predetermine de 
5 l f 6tape b) consiste a calculer une valeur C telle que : 
C = $.d modulo $(n), d etant la cle privee 
correspondante de l f algorithme RSA en mode standard 
telle que e.d — 1 modulo <B(n). 

Par exemple, soit l f ensemble E = {e 0 =3, ei=17, 
10 e 2 =2 16 +l}, alors ® - e 0 .ei.e 2 = 3 . 17 . (2 16 +1) . 
Ainsi, avec C = <D.d modulo <&(n): 
Si C = 17. (2 16 +1) = <D/e 0 alors e = e 0 = 3; 
Si C = 3.{2 16 +1) = 3>/ei alors e = ei - 17; 
Si C - 3.17 - <D/e 2 alors e = e 2 =(2 16 +1); 
15 Par 1 ' intermediaire d f un seul calcul modulaire 

permettant d'obtenir la valeur de C, il est done 
possible de retrouver la valeur de l'exposant e parmi 
un ensemble E, en fonction du resultat de ce calcul. 

Selon une alternative , le calcul predetermine de 
20 l f 6tape b) consiste a calculer une valeur C telle que: 

C = <& . d modulo <& (n) , d etant la cl6 priv6e 
correspondante de 1 T algorithme RSA en mode standard 
mais calcul£e dans cette alternative modulo la fonction 
de Carmichael £ la place de modulo la fonction 
25 indicatrice d'Euler, et done telle que : e.d - 1 
modulo 3>(n) et <& 6tant la fonction de Carmichael. 

Dans le cas oH la valeur de e a pu ef f ectivement 
etre retrouvee et memorisee, les calculs de 
l f algorithme de cryptographie en mode standard mettant 
30 en oeuvre la valeur de e consistent a parer les attaques 
par faute et & mettre en place une contre-mesure, 
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notamment contre les attaques de type DPA (et SPA) , et 
sont identiques & ceux decrits en reference & la 
premiere technique. 

Dans une variante,. lorsque 1 1 algorithme RSA mis en 
5 oeuvre est en mode CRT, le calcul predetermine de 
l'etape b) consiste a calculer une valeur C telle que: 

C = <D.dp modulo (p-1), d p etant la cle privee 
correspondante de l 1 algorithme RSA telle que 
e.dp = 1 modulo (p-1) . 
10 Ou bien encore, telle que : 

C = <&.dq modulo (q-1), dq etant la cl6 privee 
correspondante de l f algorithme RSA telle que 
e.dq = 1 modulo (q-1), 

ou bien les deux, et a prendre le e qui nous est 
15 donne par au moins un des deux tests . 

Dans le cas oil la valeur de e a pu ef fectivement 
etre retrouvee et m^morisee, les calculs de 
l f algorithme de cryptographie en mode CRT mettant en 
oeuvre la valeur de e consistent & parer les attaques 
20 par f aute . 

On peut alors verifier chaque operation privee en 
mode CRT de l 1 algorithme de cryptographie (consistant 
en le dechif frement d'un message ou la g6n6ration d'une 
signature) en s'assurant que la valeur x obtenue a 
25 partir d f une valeur y par application de l f operation 
priv6e en mode CRT verifie d'une part, la relation x e - 
y modulo p et, d f autre part, la relation x e = y modulo 

q- 
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REVINDICATIONS 



1. Precede pour la mise en ceuvre securis^e d'un 
algorithme de cryptographie a cle publique, ladite cl6 
publique 6tant compos£e d'un nombre entler n, produit 
de deux grands nombres premiers p et q, et d'un 
5 exposant public e, ledit proced<§ consistant £ 
determiner un ensemble E comprenant un nombre 
pr6d6termin6 de nombres premiers e± susceptibles de 
correspondre a la valeur de l 1 exposant public e, 
caracterise en ce qu'il comprend les etapes suivantes 
10 consistant a : 



a) calculer une valeur S> = J 1 ei 

et € E 

telle que $>/e± soit inferieur a <P(n) pour tout ex 
appartenant £ E, etant la fonction indicatrice 

15 d f Euler; 

b) appliquer la valeur 0> dans un calcul 
predetermine; 

c) pour chaque e±, tester si le resultat dudit 
calcul predetermine est 6gal & une valeur <&/e±: 

20 - si e'est le cas, alors attribuer la valeur ei & e 

et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 

- sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 

25 peuvent §tre effectues. 
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2. Proc§d6 selon la revendication 1, caract6ris6 
en ce que l 1 algorithme de cryptographie est bas6 sur un 
algorithme de type RSA en mode standard. 

5 3. Procede selon la revendication 2, caracterise 

en ce que le calcul predetermine de l'etape b) consiste 
calculer une valeur C : 

C = #.d modulo ®(n), d etant la cl6 priv6e 
correspondante de 1» algorithme RSA telle que 
10 e.d = 1 modulo <B(n) et <& 6tant la fonction indicatrice 
d f Euler . 

4. Procede selon la revendication 2, caracterise 
en ce que le calcul predetermine de l'etape b) consiste 

15 ii calculer une valeur C : 

C - #.d modulo *(n), d etant la cle priv6e 
correspondante de 1 1 algorithme RSA telle que 
e.d = 1 modulo $(n) et $ etant la fonction de 
Carmichael . 

20 

5. proc6d6 selon la revendication 1, caracterise 
en ce que 1' algorithme de cryptographie est bas6 sur un 
algorithme de type RSA en mode CRT. 

25 6. Proc6d6 selon la revendication 5, caract6ris6 

en ce que le calcul predetermine de l f 6tape b) consiste 
oL calculer une valeur C : 

C = <&.dp modulo (p-1), d p etant la cle privee 
correspondante de l 1 algorithme RSA telle que 

30 e.dp = 1 modulo (p-1) . 
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7. Proc6d6 selon la revendication 5, caract6ris£ 
en ce que le calcul predetermine de l'dtape b) consiste 
a calculer une valeur C : 

C = <E).d q modulo (q-1), d q 6tant la cl£ priv£e 
5 correspondante de 1 1 algorithme RSA telle que 
e.dq = 1 modulo (q-1) . 



8. Proc6d6 selon la revendication 5, caracterise 
en ce que le calcul predetermine de l f etape b) consiste 
10 & calculer deux valeurs Ci et C 2 telles que : 

Ci - <D.d p modulo (p-1) , d p 6 tant la clS privee 
correspondante de l 1 algorithme RSA telle que 
e.dp = 1 modulo (p-1), 

C 2 = *.dq modulo (q-1)/ d q etant la cl6 privee 
15 correspondante de 1» algorithme RSA telle que 
e.dq = 1 modulo (q-1), 

et en ce que l f 6tape de test c) consiste pour 
chaque ei, d tester si Ci et/ou C 2 est egal a la valeur 
3>/e±: 

20 - si c f est le cas f alors attribuer la valeur ei & e 

et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 

sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 

25 peuvent §tre ef f ectu§s . 



9. Proced6 selon l'une quelconque des 
revendications 3 ou 4 et selon lequel une valeur e± a 
ete attribute a e, caracterise en ce que les calcul 
30 utilisant la valeur e consistent a : 
-choisir un entier aieatoire r; 



WO 2005/022820 



PCT/EP2004/051411 



29 



-calculer une valeur d* i<elle que d* = d+r.(e.d-l); 
-mettre en oeuvre ure opdration privee de 
1 ' algorithine dans laquelle ixae valeur x est obtenue £ 
partir d f une valeur y enj appliquant la relation 
5 x = y d * modulo n. 

10. Procede selon * l'une quelconque des 
revendications 2 £ 4 et selonc lequel une valeur e A a 6t6 
attribute & e, caract6ris6. en ce qu'il consiste & 
10 obtenir, k 1' issue d T un> operation privee de 
l f algorithme , une valeur x partir d f une valeur y et 
en ce que les calculs utilis mt la valeur e consistent 
k verifier si x e = y modulo n 

15 11- Procede selon ■ l f une quelconque des 

revendications 5 & 8, et se." on lequel une valeur ei a 
ete attribute a e, caracteris6 en ce qu'il consiste a 
obtenir, & l 1 issue d T uni operation privee de 
l'algorithme, une valeur x partir d f une valeur y et 

20 en ce que les calculs utilis int la valeur e consistent 
& verifier d'une part, si x e = y modulo p et, d f autre 
part, si x e = y modulo q. 

12. Proced6 selon • l T une quelconque des 
25 revendications pr6c6dentes, i caract<§rise en ce que 

1' ensemble E comprend au moii^s les valeurs e^ suivantes 
3, 17, 2 16 +1. 

13. Composant electroniqtue caracterise en ce qu f il 
30 comprend des moyens pour las mise en oeuvre du procede 

selon I 1 une quelconque des revendications pr6cedentes. 
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14. Carte & puce comprenant un composant 
6lectronique selon la revendication 13. 

15. Proc6de pour la mlse en oeuvre s£curisee d f un 
algorithme de cryptographie £ cle publique, ladite cl6 
publique etant composee d'un nombre entler n produit de 
deux grands nombres premiers p et q et d f un exposant 
public e, ledit proc6d£ consistant k determiner un 
ensemble E comprenant un nombre predetermine de nombres 
premiers e± susceptibles de correspondre 2l la valeur de 
l f exposant public e, caracterise en ce qu'il consiste a 
r6aliser les etapes suivantes consistant a: 

a) choisir une valeur ei parmi les valeurs de 
1 T ensemble E; 

15 b > sl ®(p)=$(q)r tester si la valeur ei choisie 

verifie la relation : (1-ei.d) modulo n < ei .2 ( ° <n,/2)+:L 
ou ladite relation simplifiee : 
(-ei.d) modulo n < e x . 2 <0<n>/2>+1 

avec <D(p), <D(q) et <D(n) les fonctions donnant le 
nombre de bits codant respectivement le nombre p, le 
nombre q et le nombre n; 

sinon, dans le cas oti p et q sont 
desequilibr<§s, tester si la valeur e± choisie v6rifie la 
relation : 
25 (l-ei.d) modulo n < ei.2 g+1 

ou ladite relation simplifiee : 
(-ei.d) modulo n < ei.2 g+1 

avec g=max(Q(p) ,&(q) ) , si &(p) et O(q) sont connus 
ou, dans le cas contraire, avec g= 0(n)/2+t, oil t 
designe le facteur de desequilibre ou une borne sur ce 
facteur; 
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c) si la relation de test appliqu6e a l'etape 
prec6dente est verifi6e, alors e - e ± , et m6moriser e en 
vue de son utilisation dans des calculs dudit 
algorithme de cryptographie, 
5 - si ce n'est pas le cas, r^iterer les 6tapes 

precedentes en choisissant une autre valeur de e ± dans 
l f ensemble E jusqu 1 ^ ce qu f une valeur de e t puisse etre 
attribute & e et si aucune valeur de e ± ne peut §tre 
attribute A e alors constater que les calculs dudit 
10 algorithme de cryptographie utilisant la valeur de e ne 
peuvent pas etre effectues. 



16. Procede selon la revendication 15, caracterise 
en ce que pour tous les i, e^2 16 -M et en ce que l'etape 
15 b) est remplac^e par une autre 6tape de test consistant 
a : 

si &(p)=0(q), tester si la valeur e ± choisie 
v6rifie la relation: (l- ei .d) modulo n < 2 < ° <n)/2)+17 

ou ladite relation simplifiee : 
20 (-ei.d) modulo n < 2 ( * <n)/2)+17 

avec <D<p), <D(q) et <D(n) les fonctions donnant le 
nombre de bits codant respectivement le nombre p, le 
nombre q et le nombre n; 

sinon, dans le cas oil p et q sont d<§s6quilibres, 
25 tester si la valeur e ± choisie v6rifie la relation 
(1-ei-d) modulo n < 2 g+17 

ou ladite relation simplifiee: 

(-ej..d) modulo n < 2 g+17 

avec g=max(Q(p) ,Q(q)) , si <P(p) et <P(q) sont connus 
30 ou, dans le cas contraire, avec g= Q(n)/2+t, ou t 
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designe le facteur de dSsequilibre ou une borne sur ce 
facteur. 

17. Proced6 selon la revendication 15, caracterise 
5 en ce que l'etape b) est remplacee par une autre etape 
de test consistant a : 

tester si la valeur e± choisie v6rifie la relation 
selon laquelle: 

les premiers bits de poids forts de (l-e ± .d) modulo n 
10 sont nuls ; 

ou ladite relation simplifi6e selon laquelle : 
les premiers bits de poids forts de <-ej..d) modulo n 
sont nuls. 

15 18- ProcSdS selon la revendication 17, caracterise 

en ce que le test est effectue sur les 128 premiers 
bits de poids forts, 

19. Procede selon l f une quelconque des 
20 revendications 15 k 18, caracterise en ce que 

1 T algorithrae de cryptographie est bas6 sur - un 
algorithme de type RSA en mode standard. 

20. Procede selon l T une quelconque des 
25 revendications 15 4 19, et selon lequel une valeur ei a 

6te attribute 3. e, caract6ris6 en ce que les calculs 
utilisant la valeur e consistent 3. : 
-choisir un entier aleatoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d-1); 
30 -raettre en oeuvre une operation priv6e de 

l 1 algorithme dans laquelle une valeur x est obtenue £ 
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partir d f une valeur y en appliquant la relation 
x = y d * modulo n. 

. 21. Proc6d6 selon l f une quelconque des 
5 revendications 15 i 19 et selon lequel une valeur e A a 
ete attribuee a e, caracterise en ce qu'il consiste a 
obtenir, £ l f issue d f une operation priv6e de 
l'algorithme, une valeur x 4 partir d f une valeur y et 
en ce que les calculs utilisant la valeur e consistent 
10 & v6rifier si x e = y modulo n. 

22 . Precede selon 1 T une quelconque des 
revendications 15 a 21 , caract6rise en ce que 1 T ensemble 
E comprend au moins les valeurs e ± suivantes 3, 17, 

15 2 16 +1. 

23. Precede selon la revendication 22, caracterise 
en ce que le choix preferentiel des valeurs ei parmi les 
valeurs de 1 T ensemble E est effectue selon l'ordre 

20 suivant : 2 16 +1, 3, 17. 

24. Composant 61ectronique caracterise en ce qu'il 
comprend des moyens pour la mise en ceuvre du proc6d6 
selon l'une quelconque des revendications 15 k 23. 

25 



25. Carte & puce comprenant un composant 
61ectronique selon la revendication 24. 
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